課程結構靈活

教學內容實用

教學資源豐富

教學可操作性強

隨著移動互聯網、云計算、大數據、物聯網等的興起及其網絡服務的廣泛應用，網絡技術的發展日新月異，隨之而來的網絡安全問題也越來越突出，惡意攻擊者和間諜的犯罪比以往任何時候都來得頻繁，作案工具越來越強大，作案手法更是層出不窮。云網絡中的大數據對于惡意攻擊者來說是極具吸引力的，往往成為被攻擊的目標。一旦云網絡系統被惡意攻擊者攻破，大量有價值的數據信息將會泄露，對整個企業甚至整個行業而言都是毀滅性的打擊。因此，現代網絡的安全防護是至關重要的。如何提高網絡系統的安全運行能力已成為人們亟須解決的問題。每個網絡管理人員、工程技術人員和用戶都應該掌握一定的網絡安全知識與技能，以使得信息系統能夠安全、穩定地運行，同時能夠提供安全可靠的服務。

為了幫助讀者掌握網絡安全知識和技術，并能夠在工作中采用正確的措施保護網絡環境的安全，編者編寫了《網絡安全系統集成》（被教育部評為“十二五”職業教育國家規劃教材）。然而，網絡安全威脅不斷出現新的變化，技術發展十分迅速，教材建設也需與時俱進，才能適應形勢發展。我們在前書的基礎上，組織行業、企業人員對教材內容進行了梳理論證，總結了編者多年來網絡安全實踐及教學的經驗，依據教育部2019年頒布的《高等職業學校計算機網絡技術專業教學標準》中的相關教學要求，按照網絡安全縱深防御體系的構建思路，精心設計了10個教學項目，使得教材內容更加豐富，重點知識更加突出，更貼近教學實際。具體體現在以下幾個方面：

（1）堅持“在做中學”的教育理念。通過任務項目化強化學生的技能訓練，使學生能夠在訓練過程中鞏固所學知識，將所學的知識與網絡安全實踐項目有機地結合起來。

（2）教學資源豐富。教材配套的教學資源是與業界知名設備商合作開發的，包括工作原理動畫、操作實踐微課視頻、基于主題內容的PPT和題型多樣的習題集等。

（3）教學可操作性強。本書使用思科的Packet Tracer 7.3網絡模擬器作為學習平臺，所有內容都可在Packet Tracer 7.3上實踐，學生也可以在自己的計算機上完成課后實踐作業。

本書主要內容涵蓋網絡設備的安全管理、局域網安全技術、網絡訪問控制技術、網絡地址轉換技術、防火墻技術、入侵檢測與防御技術、虛擬專用網絡技術和網絡安全管理技術等，建議教學學時為64學時，理論學時與實踐學時之比為1∶3，各校可根據學生的學習基礎和實際學情進行適當調整。

本書由重慶電子工程職業學院唐繼勇、任月輝任主編，葉坤、鄒起、何雨虹、鐘文輝（銳捷網絡股份有限公司）任副主編，其中，項目1和項目2由任月輝編寫，項目3～6由唐繼勇編寫，項目7由葉坤編寫，項目8由鄒起編寫，項目9由何雨虹編寫，項目10由鐘文輝編寫。全書由唐繼勇統稿。

本書在編寫過程中參閱了同行的相關資料，得到編者所在學院、相關企業的大力支持和幫助，在此向有關同行和單位表示衷心感謝。

限于編者水平，書中難免有不妥和錯誤之處，懇請廣大讀者批評指正。

編 者

2021年5月

項目1 網絡安全概述 1
1.1 數據面臨的挑戰 1
1.1.1 保護存儲中的數據所面臨的挑戰 1
1.1.2 保護傳輸中的數據所面臨的挑戰 1
1.1.3 保護處理中的數據所面臨的挑戰 1
1.2 網絡安全的基本問題 2
1.2.1 機密性 2
1.2.2 完整性 2
1.2.3 可用性 3
1.3 網絡安全體系框架 3
1.3.1 IATF模型框架介紹 3
1.3.2 網絡安全分層保護 4
1.4 網絡安全保護機制 5
1.4.1 基于軟件的保護措施 5
1.4.2 基于硬件的保護措施 6
1.4.3 基于網絡技術的保護措施 6
1.4.4 網絡安全教育和培訓 6
1.4.5 建設注重網絡安全意識的文化 6
1.5 過關訓練 6
1.5.1 知識儲備檢驗 6
1.5.2 實踐操作檢驗 7
1.5.3 挑戰性問題 7
項目2 網絡安全技術 8
2.1 密碼技術簡介 8
2.1.1 數據加密技術的基本概念 8
2.1.2 傳統的數據加密與解密模型 8
2.1.3 常見加密算法舉例 9
2.2 對稱加密算法 10
2.2.1 對稱加密算法通信模型 10
2.2.2 對稱加密算法的優缺點 10
2.2.3 對稱加密算法的應用 11
2.3 非對稱加密算法 11
2.3.1 非對稱加密算法通信模型 11
2.3.2 非對稱加密算法的優缺點 11
2.3.3 非對稱加密算法的應用 12
2.4 密鑰交換技術 12
2.4.1 DH算法思路 12
2.4.2 DH算法舉例 12
2.4.3 DH算法在VPN中的應用 13
2.4.4 驗證數據的加密與解密 13
2.5 散列算法 15
2.5.1 報文摘要算法 16
2.5.2 散列消息認證碼算法 16
2.5.3 安全散列算法 17
2.5.4 數據完整性驗證 17
2.6 數字簽名技術 19
2.6.1 數字簽名的概念 20
2.6.2 數字簽名的實現條件 20
2.6.3 數字簽名的應用 20
2.7 身份認證技術 22
2.7.1 身份認證的特點 22
2.7.2 預共享密鑰認證方式 23
2.7.3 公鑰私鑰對認證方式 23
2.7.4 基于遠程認證撥號用戶服務 24
2.8 過關訓練 25
2.8.1 知識儲備檢驗 25
2.8.2 實踐操作檢驗 27
2.8.3 挑戰性問題 27
項目3 網絡設備的安全管理 28
3.1 設置健壯的密碼 28
3.1.1 密碼配置注意事項 28
3.1.2 配置安全訪問端口密碼 29
3.1.3 設置使能密碼 29
3.1.4 加密配置文件中的密碼 29
3.1.5 設置最短密碼長度 30
3.1.6 修改連接屬性控制Console口的訪問 30
3.2 保護系統文件 31
3.2.1 非授權人員不能隨意接觸網絡設備 31
3.2.2 執行密碼修復流程 31
3.2.3 備份及恢復系統文件 32
3.2.4 保護IOS映像和配置文件 34
3.3 遠程安全管理 35
3.3.1 使用ACL限制Telnet的遠程訪問 35
3.3.2 使用SSH遠程管理網絡設備 36
3.4 用戶身份認證 37
3.5 過關訓練 39
3.5.1 知識儲備檢驗 39
3.5.2 實踐操作檢驗 40
3.5.3 挑戰性問題 40
項目4 局域網安全技術 41
4.1 局域網安全威脅概述 41
4.1.1 交換機安全 41
4.1.2 路由器安全 42
4.2 鏈路發現的攻擊與緩解 42
4.3 VLAN的跳躍攻擊與緩解 43
4.4 端口安全技術與實踐 46
4.5 DHCP欺騙攻擊與防范 48
4.6 ARP欺騙攻擊與緩解 51
4.7 STP操縱攻擊與緩解 53
4.8 使用802.1x保護設備訪問 55
4.9 路由協議運行安全配置 57
4.9.1 RIPv2協議認證安全配置 57
4.9.2 OSPF協議認證安全配置 58
4.9.3 OSPF協議認證安全配置 58
4.10 路由協議消聲 60
4.11 過關訓練 61
4.11.1 知識儲備檢驗 61
4.11.2 實踐操作檢驗 64
4.11.3 挑戰性問題 65
項目5 網絡訪問控制技術 67
5.1 訪問控制列表概述 67
5.1.1 訪問控制列表的定義 67
5.1.2 ACL的功能 67
5.1.3 ACL的作用 68
5.1.4 ACL的工作過程 68
5.2 訪問控制列表的分類 70
5.2.1 根據判斷條件不同 70
5.2.2 根據標識方法不同 70
5.2.3 基于時間的ACL 70
5.3 通配符掩碼 70
5.3.1 通配符掩碼的作用 70
5.3.2 通配符掩碼的運算 70
5.3.3 常用通配符掩碼 71
5.4 配置標準ACL 71
5.4.1 在全局配置模式下設置條件 71
5.4.2 在接口上關聯ACL 72
5.4.3 配置標準ACL舉例 72
5.5 配置擴展的ACL 73
5.5.1 擴展ACL命令介紹 73
5.5.2 擴展ACL命令實例分析 74
5.5.3 配置擴展ACL舉例 74
5.6 配置命名ACL 75
5.6.1 命名IP ACL的特性 75
5.6.2 命名ACL的配置 75
5.7 配置基于時間的ACL 76
5.7.1 時間的類型 76
5.7.2 基于時間的ACL簡介 76
5.7.3 基于時間的ACL的配置 76
5.8 訪問控制列表配置實踐 77
5.8.1 應用標準IP ACL控制內部網絡互訪 77
5.8.2 應用擴展IP ACL控制內部網絡
資源訪問 78
5.9 過關訓練 80
5.9.1 知識儲備檢驗 80
5.9.2 實踐操作檢驗 80
5.9.3 挑戰性問題 81
項目6 網絡地址轉換技術 82
6.1 NAT概述 82
6.1.1 NAT技術產生的原因 82
6.1.2 NAT基本術語 83
6.1.3 NAT設備 84
6.1.4 NAT的功能 84
6.2 NAT的分類 85
6.2.1 按轉換IP地址類型分類 85
6.2.2 按實現方式分類 86
6.3 NAT的優缺點 87
6.3.1 NAT的優點 87
6.3.2 NAT的缺點 88
6.4 NAT的配置 88
6.4.1 配置NAT前的準備工作 88
6.4.2 NAT配置的一般步驟 88
6.4.3 靜態NAT的配置 89
6.4.4 動態NAT的配置 90
6.4.5 Port NAT的配置 90
6.4.6 NAT的查看 91
6.5 NAT的弱安全性 91
6.6 NAT配置實踐 91
6.6.1 配置靜態NAT提供網絡服務 91
6.6.2 配置動態NAT訪問Internet 93
6.7 過關訓練 94
6.7.1 知識儲備檢驗 94
6.7.2 實踐操作檢驗 95
6.7.3 挑戰性問題 95
項目7 防火墻技術 96
7.1 防火墻的概念 96
7.1.1 防火墻的定義 96
7.1.2 防火墻的主要功能 97
7.1.3 防火墻的局限性 97
7.2 防火墻的分類 98
7.2.1 包過濾防火墻 98
7.2.2 應用級代理防火墻 98
7.2.3 狀態檢測防火墻 99
7.3 防火墻的區域劃分 99
7.3.1 外部網絡 100
7.3.2 DMZ 100
7.3.3 內部網絡 100
7.4 防火墻的工作模式 101
7.4.1 路由模式 101
7.4.2 透明模式 101
7.4.3 混合模式 101
7.5 防火墻的體系結構 102
7.5.1 屏蔽路由器體系結構 102
7.5.2 屏蔽主機體系結構 103
7.5.3 屏蔽子網體系結構 104
7.6 硬件防火墻的基本配置 105
7.7 過關訓練 107
7.7.1 知識儲備檢驗 107
7.7.2 實踐操作檢驗 108
7.7.3 挑戰性問題 108
項目8 入侵檢測與防御技術 110
8.1 入侵檢測系統與防御系統概述 110
8.2 入侵檢測系統 111
8.2.1 入侵檢測系統的分類 111
8.2.2 入侵檢測系統的工作過程 113
8.2.3 入侵檢測系統的基本構成 113
8.2.4 常見的入侵檢測技術 114
8.3 入侵防御系統 115
8.3.1 入侵防御系統的概念 115
8.3.2 入侵防御系統的分類 117
8.3.3 入侵防御系統使用的關鍵技術 118
8.4 入侵檢測與防御系統的部署 119
8.5 混合技術解決方案 120
8.6 入侵防御系統的實踐 121
8.7 過關訓練 123
8.7.1 知識儲備檢驗 123
8.7.2 實踐操作檢驗 125
8.7.3 挑戰性問題 125
項目9 虛擬專用網絡技術 127
9.1 VPN技術概述 127
9.1.1 VPN的概念 127
9.1.2 常見VPN封裝協議 128
9.1.3 VPN連接模式 129
9.1.4 VPN的類型 130
9.2 GRE隧道技術 131
9.2.1 GRE封裝的標準格式 131
9.2.2 GRE的IP in IP 封裝 132
9.2.3 GRE隧道的工作原理 134
9.2.4 GRE VPN的應用場景 136
9.3 IPsec VPN技術 141
9.3.1 IPsec的基本框架結構 141
9.3.2 IPsec VPN的運行模式 141
9.3.3 IPsec VPN的工作原理 145
9.3.4 IPsec VPN的應用場景 150
9.4 SSL VPN技術 154
9.4.1 SSL協議的框架 154
9.4.2 SSL VPN的工作原理 159
9.4.3 SSL VPN的接入方式 162
9.4.4 SSL VPN的應用場景 164
9.5 過關訓練 170
9.5.1 知識儲備檢驗 170
9.5.2 實踐操作檢驗 171
9.5.3 挑戰性問題 171
項目10 網絡安全管理技術 173
10.1 網絡運行與維護概述 173
10.2 網絡故障排除方法 173
10.2.1 網絡故障排除方法概述 173
10.2.2 網絡設備配置文檔 174
10.2.3 常見網絡故障排除方法 177
10.2.4 網絡故障排除流程 177
10.2.5 網絡故障排除實踐 179
10.3 網絡硬件診斷工具 182
10.3.1 電纜測試儀 182
10.3.2 萬用表 183
10.3.3 網絡萬用表 184
10.3.4 時域反射計 184
10.3.5 數字式電纜分析儀 185
10.4 網絡安全監控 185
10.4.1 系統日志 185
10.4.2 網絡時間協議 186
10.4.3 簡單網絡管理協議 186
10.4.4 NetFlow 186
10.4.5 使用SNMP管理網絡設備 186
10.4.6 使用端口鏡像來監控網絡流量 188
10.5 過關訓練 192
10.5.1 知識儲備檢驗 192
10.5.2 實踐操作檢驗 193
10.5.3 挑戰性問題 194
參考文獻 195

1. 輸水管線工程風險管理 [張勇 黨亥生 著]
2. 民用航空飛機標準線路施工 [主編　王志敏　陳明]
3. 不息的水脈—大運河講談錄 [趙珩　著]
4. 實用運籌學 [主編　邢育紅　于晉臣]
5. 三峽梯級電站水資源決策支持系統研究與開發 [姚華明 潘紅忠 湯正]
6. 海南黎族民俗文化鑒賞 [龐國華　著]
7. 石墨烯在太赫茲及中紅外頻段電磁器件設計中的應用 [李艷秀 莊華偉 著]
8. 電子技術（第二版） [主編 覃愛娜 李飛]
9. 辦公自動化高級應用 [陳萍 朱曉玉]
10. 信息處理技術員考試32小時通關 [薛大龍]
11. 電子產品設計案例教程（微課版）—基于嘉立創EDA（專業版） [王靜 莫志宏 陳學昌 丁紅]
12. C程序設計實踐教程 [劉衛國]
13. C程序設計（慕課版） [劉衛國]
14. Web技術開發教程（基于.NET開源MVC框架） [王合闖 韓紅玲 王青正 陳海蕊]
15. 商務英語翻譯教程（筆譯）（第四版） [主編 王軍平]
16. 智慧零售技術與應用 [洪旭 著]
17. 建設工程法規實務 [主編 余瀅]
18. 商務秘書理論與實務（第三版） [主編 張同欽]
19. 程序設計基礎實踐教程（C/C++語言版） [張桂芬 葛麗娜]
20. C++案例項目精講 [主編 楊國興]
21. 勞動爭議處理實務 [主編 王秀卿 羅靜]
22. 工程數學 [主編 郭立娟 王海]
23. 語音識別理論與實踐 [主編　莫宏偉]
24. 信息系統項目管理師章節習題與考點特訓（第二版） [主編 薛大龍]
25. 武術基礎教程 [主編 李代勇 謝志民]
26. 計算機網絡實訓教程 [主編 張浩軍 趙玉娟]
27. 畫法幾何與機械制圖習題集（多學時） [主編 趙軍]
28. HCIA-Datacom認證題庫分類精講 [主 編 韓立剛]
29. SwiftUI完全開發 [李智威 著]
30. 網絡規劃設計師備考一本通 [夏杰 編著]